El 20 de agosto, el Gobierno de Hong Kong hizo una declaración respecto al informe Bloomberg, sobre la última legislación de ciberseguridad de la ciudad, Proyecto de ley de protección de infraestructura crítica (sistema informático crítico), y los acusó de ser parciales. La propuesta de ley se presentó el 2 de julio de 2024, y tiene como objetivo proteger las infraestructuras críticas de Hong Kong contra los ciberataques dirigidos a los sistemas informáticos críticos de las mencionadas infraestructuras; la consulta popular finalizó el 1 de agosto.
En un reciente informe del 21 de agosto, Bloomberg citó a los críticos y destacó:
The proposals give authorities overly broad powers that could threaten the integrity of service providers and rock confidence in the city’s digital economy.
Las propuestas conceden a las autoridades poderes demasiados amplios que podrían amenazar la integridad de los proveedores de servicios, y hacer tambalear la confianza en la economía digital de la ciudad.
Por otro lado, el Gobierno destacó que de las 53 consultas recibidas, 52 apoyaron la legislación e hicieron sugerencias constructivas.
Entonces, ¿cuáles son las controversias en torno al proyecto de ley? Examinemos algunas de sus críticas y sugerencias constructivas.
El alcance de las infraestructuras críticas es demasiado amplio
El proyecto de ley divide a las infraestructuras críticas en dos categorías. La primera categoría abarca ocho sectores: energía, tecnología de la información, servicios bancarios y financieros, transporte terrestre, transporte aéreo, transporte marítimo, servicios de salud, comunicaciones y medios de difusión. La segunda categoría abarca la infraestructura que mantiene las importantes actividades sociales y económicas.
Como señaló ARTICLE 19, grupo internacional de defensa de la libertad de expresión, la definición de tecnología de la información en la primera categoría es demasiado amplia para incluirla como infraestructura crítica.
La Cámara de Comercio de Estados Unidos recomendó también en su presentación a la consulta, eliminar el sector informático de la lista de las infraestructuras críticas, ya que se trata de un sector proveedor de servicios que suele actuar como un tercero, y que no tiene autoridad para decidir en nombre del propietario del sistema informático.
A pesar de que el Gobierno se defendió con el argumento de que la nueva ley regulará solo a las organizaciones de infraestructuras críticas designadas, y no a los sectores enumerados, le corresponde a la futura Oficina de la Comisión la facultad de determinar una organización de infraestructuras críticas, en tanto que las definiciones de las infraestructuras críticas y sistemas informáticos críticos siguen sin ser claras en el marco de la propuesta de la ley. La Cámara de Comercio de Estados Unidos insta por una definición clara de las infraestructuras críticas y los sistemas informáticos críticos, y sugirió específicamente:
If there are multiple organizations providing substantially the same services or operating similar infrastructures in a particular sector, the severity, intensity, and magnitude of the impact of the disruption of the services or infrastructures would be limited, and therefore, the targeted infrastructure should not be regarded as a CI.
Si hay múltiples organizaciones que prestan de manera sustancial los mismos servicios u operan infraestructuras similares en un sector concreto, la gravedad, la intensidad y la magnitud del impacto de la interrupción de los servicios o infraestructuras sería limitada y, por ende, la infraestructura focalizada no debería considerarse una infraestructura crítica.
Implicaciones extraterritoriales y conflictos legales
La propuesta también planteó que las futuras leyes se aplicaran a todas los sistemas informáticos críticos, “sin importar si están ubicados físicamente en Hong Kong o no”.
La Cámara de Comercio de Estados Unidos destacó que las implicaciones extraterritoriales derivarían en conflictos legales, ya que los sistemas informáticos críticos podrían violar las leyes de otro país si respetasen la legislación de Hong Kong. La Cámara de Comercio recomendó que la ley se aplicara a las infraestructuras críticas y a los sistemas informáticos críticos dentro de esta ciudad. Advirtió:
By extending the proposed legislation to infrastructures and computer systems situated outside Hong Kong, it is disproportionate to the regulatory purpose, and may result in regulatory fragmentation and lead to higher compliance costs and deter multinational companies from operating businesses and investing in Hong Kong.
Ampliar la legislación propuesta para los sistemas informáticos e infraestructuras situados fuera de Hong Kong es una desproporción para el objetivo regulador. Esto puede generar una fragmentación de la regulación y conducirlo a mayores costos de cumplimiento, además de disuadir a las empresas multinacionales de operar negocios e invertir en Hong Kong.
Poder de investigación excesivo
La propuesta de ley le otorgará a las autoridades locales el poder de investigar a las organizaciones de infraestructuras críticas sobre incidentes vinculados a la seguridad mediante preguntas, solicitud de información, ingreso a las instalaciones, acceso y verificación de los sistemas informáticos relevantes, entre otros.
ARTICLE 19 calificó ese poder como excesivo y destacó que la divulgación obligatoria del “diseño, configuración y operaciones de seguridad de los sistemas informáticos podría equivaler a revelar secretos comerciales”.
En el anexo II, el proyecto de ley especifica que si las organizaciones informáticas críticas no acceden a las peticiones policiales, las autoridades de investigación podrían incluso “conectar equipos o instalar un programa en los sistemas informáticos críticos”.
La Cámara de Comercio de Estados Unidos calificó a tal poder como algo “sin precedentes”, también destacó que “podría tener un impacto significativo en el funcionamiento de una organización informática crítica, y que podría perjudicar a los usuarios de los servicios que presta”.
We submit that introducing this power is likely to have a chilling effect on technology investment and Hong Kong digital economy and will undermine trust in service providers who operate in Hong Kong.
Entendemos que introducir este poder probablemente tendrá un efecto paralizador sobre la inversión en la tecnología y la economía digital de Hong Kong, y que debilitará la confianza en los proveedores de servicios que operan en Hong Kong.
La Cámara de Comercio de Estados Unidos también recomienda que el Gobierno publique “una lista exhaustiva de las medidas” para que las organizaciones de infraestructuras críticas puedan recibir las instrucciones a seguir.
Legislación subsidiaria y código de práctica
La propuesta legislativa también le otorga poder al secretario de Seguridad para modificar la ley mediante la legislación subsidiaria en varios aspectos, como determinación del sector de las infraestructuras críticas, lista de información de divulgación obligatoria por parte de las organizaciones de infraestructuras críticas, ámbitos de aplicación de los planes de gestión de la seguridad de los sistemas informáticos, auditorías de seguridad, evaluaciones de riesgos y planes de respuesta a emergencias, contenido, y plazos del informe obligatorio sobre incidentes de seguridad.
Del mismo modo, la Oficina de la Comisión tendrá el poder para emitir un código de práctica dirigido a las organizaciones de infraestructuras críticas, en el que se detallen las medidas y normas que deben adoptar en sus informes obligatorios sobre incidentes de seguridad, auditoría de seguridad, gestión, evaluación, mecanismo de supervisión, etc.
Tanto ARTICLE 19 como la Cámara de Comercio de Estados Unidos señalaron que la legislación subsidiaria eludirá la legislatura y la consulta pública.
En el contexto de la aplicación de la ley de seguridad nacional que supone el desmantelamiento de los medios independientes y de los sectores de la sociedad civil, director del programa Asia Digital de ARTICLE 19, Michael Caster, advirtió que “el proyecto de ley de infraestructuras críticas que se propuso parece modelado más para cerrar brechas adicionales en la libertad de internet, que para abordar auténticos retos de ciberseguridad”.